详解S-CMS企业建站v3几处SQL注入

0x01 前言

有段时间没有发文章了,主要没挖到比较有意思的漏洞点。然后看最近爆了很多关于S-CMS的漏洞,下载了源码简单挖了一下然后给大家分享一下。

0x02 目录

Wap_index.php sql注入Form.php Sql注入Input、query

0x03 插曲

这里分享一下在审计的时候自用的一段代码。

 $debug=function(){
      $logFile='C:\\Users\\DELL\\Desktop\\debug.txt';   //输出的文件
      $param=func_get_args();           //获取传入函数的参数
      if (count($param)>0){
        $str=serialize($param);           //序列号
        if($str){                  //存在就写入
          $str=file_get_contents($logFile)."\r\n\r\n".__FILE__.":\t\t".$str;
          file_put_contents($logFile,"\t\t".$str);
        }else{                 //不存在写入Null
          $str=file_get_contents($logFile)."\r\n\r\n".__FILE__.":\r\n".$str;
          file_put_contents($logFile,"\t\tNull");
        }
      }
    };$debug($x,$a,$b);   //这里$x,$a,$b都是要查看的变量。

主要用这个的话个人感觉比较方便,平常测试都是var_dump();die;来查看。然后当die后,页面还是没有打印内容,用这个函数还是相对比较方便的。当然用phpstorm下断点挺好的,不过个人不太喜欢。主要还是我懒。

0x04 Wap_index.php sql注入

漏洞文件:\scms\wap_index.php这个文件的话不止这一处Sql注入,这里只写这一个。漏洞行号:90-96

case "text":
  $debug("select * from SL_text where T_id=" . $S_id, "T_title");
  if (getrs("select * from SL_text where T_id=" . $S_id, "T_title") == "") {
    box("菜单指向的简介已被删除,请到“菜单管理”重新编辑", "back", "error");
  } else {
    $page_info = ReplaceLableFlag(ReplaceWapTag(CreateHTMLReplace(CreateText(ReplaceWapPart(LoadWapTemplate($style, $S_id)) , $S_id))));
  }
  break;

S_id直接从GET获取无单引号拼接进了sql语句

if(isset($_GET["S_id"])){
  $S_id = $_GET["S_id"];
}else{
  $S_id = "0";
}

这套CMS核心全带全都加密处理了所以我们看不到他的过滤方法,不过当出现 union select 等的时候都直接退出了,没有继续往下执行。研究发现当传入select(user())能正常执行,不过尝试union(select(1)) 的时候也没有执行,应该是直接正则匹配的union这个单词,而select匹配了前后的空格。

漏洞演示:

$debug保存下来的信息。

D:\phpStudy\PHPTutorial\WWW\scms\wap_index.php: a:2:{i:0;s:58:"select * from SL_text where T_id=1 and (select(user())!=1)";i:1;s:7:"T_title";}

Mysql.log

正常执行了sql语句。S_id=1 and (select(user()) from sl_reply 同样可以正常执行,可通过盲注爆数据。

0x05 Form.php Sql注入

漏洞文件:\scms\form.php

漏洞Action:input

if($action=="input"){
  if ($_POST["code"]!=$_SESSION["CmsCode"]){
    echo "<div style='height:500px'></div>";
    box(lang("验证码错误!/l/Verification code error"),"back","error");
  }else{
    $R_time=date('Y-m-d H:i:s');
    $R_rid=gen_key(15);
    foreach ($_POST as $x=>$value) {
    if ($x>0){
      if ($_POST[$x]==""){
        box(lang("请填全内容后提交!/l/Please fill in the full content to submit!"),"back","error");
        die();
      }else{
        if (!IsValidStr($_POST[$x])){
        box(lang("您输入的内容有敏感字符,请重新输入!/l/The contents you have entered are sensitive characters, please re-enter!"),"back","error");
        }else{
$debug("Insert into SL_response(R_cid,R_content,R_time,R_rid,R_member) values(".$x.",'".htmlspecialchars($_POST[$x])."','".$R_time."','".$R_rid."',".$M_id.")");
        mysqli_query($conn,"Insert into SL_response(R_cid,R_content,R_time,R_rid,R_member) values(".$x.",'".htmlspecialchars($_POST[$x])."','".$R_time."','".$R_rid."',".$M_id.")");
        }
      }
    }
    }
    if ($F_cq>0){
    mysqli_query($conn,"Insert into SL_query(Q_code,Q_content,Q_sort) values('".$R_rid."','".date('Y-m-d H:i:s')."__用户提交表单,等待处理"."',".$F_cq.")");
    box(lang("提交成功,查询码 ".$R_rid."/l/success!code ".$R_rid.""),$C_dir.$url_to,"success");
  }else{
  box(lang("提交成功!/l/success!code ".$R_rid.""),$C_dir.$url_to,"success");
  }
    sendmail("您的网站有新的表单提交","<h2>您的网站“".lang($C_webtitle)."”有新的表单提交</h2><hr>请进入“网站后台” - “表单系统” - “查看统计”查看详情!",$C_email);

  }
}

这里简单看些逻辑,先判断code验证码是否错误,如果为False不错误,进入foreach循环,判断$x(也就是 $_POST的key)>0这里就可以通过php弱类型比如1a>0 为True 这个不多介绍了,然后如果$_POST[$x] 不为空,继续检测$_POST[$x] 是否存在敏感字符,然后拼接sql语句。

整个流程就这样了,漏洞触发点就是$x,它检测敏感字符只检测了$_POST[$x]内容,而没检测$x,而且直接拼接入了sql语句导致SQL注入。

漏洞演示:

http://127.0.0.1/scms/form.php?action=input&S_id=0code=ywu7&1//and//(1//like//1)=121

$debug记录

D:\phpStudy\PHPTutorial\WWW\scms\form.php: a:1:{i:0;s:147:"Insert into SL_response(R_cid,R_content,R_time,R_rid,R_member) values(1//and//(1//like//1),'121','2018-12-05 15:27:00','WjWEpX8YIK6cfeq',6)";}

漏洞文件:\scms\form.php

漏洞Action:query

if ($action=="query"){
$Q_sort=$_POST["Q_sort"];
$Q_code=$_POST["Q_code"];
  if ($_POST["code"]!=$_SESSION["CmsCode"]){
    echo "<div style='height:500px'></div>";
    box(lang("验证码错误!/l/Verification code error"),"back","error");
  }else{

    $sql="select * from SL_query where Q_sort=".$Q_sort." and Q_code like '".$Q_code."'";
    $result = mysqli_query($conn, $sql);
    $row = mysqli_fetch_assoc($result);

这个相对简单不多说,$Q_sort从post获取,无过滤直接拼接进sql语句导致sql注入。

Payload:http://127.0.0.1/scms/form.php?action=query&S_id=0code=t5o9&Q_sort=1 and 1=1

0x06 结束语

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。

(0)

相关推荐

  • S-CMS企建v3二次SQL注入的方法

    0x01 前言 继上一篇的S-CMS漏洞再来一波!首发T00ls 0x2 目录 Sql注入二次SQL注入 0x03 Sql注入 漏洞文件:\scms\bbs\bbs.php $action=$_GET["action"]; $S_id=$_GET["S_id"]; if($action=="add"){ $B_title=htmlspecialchars($_POST["B_title"]); $B_sort=$_POST[&

  • 详解S-CMS企业建站v3几处SQL注入

    0x01 前言 有段时间没有发文章了,主要没挖到比较有意思的漏洞点.然后看最近爆了很多关于S-CMS的漏洞,下载了源码简单挖了一下然后给大家分享一下. 0x02 目录 Wap_index.php sql注入Form.php Sql注入Input.query 0x03 插曲 这里分享一下在审计的时候自用的一段代码. $debug=function(){ $logFile='C:\\Users\\DELL\\Desktop\\debug.txt'; //输出的文件 $param=func_get_a

  • 详解PowerDesigner之CDM、PDM、SQL之间转换

    详解PowerDesigner之CDM、PDM、SQL之间转换

    详解PowerDesigner之CDM.PDM.SQL之间转换 前段时间用了下PowerDesigner做了一些辅助工作.在此特地小结一下: 有关CDM.PDM.SQL之间转换以及不同数据库之间库表Sql的移植,首先要了解的是它们各自的用途.这里就简单的描述一下,不做详细的解释了. CDM:概念数据模型.CDM就是以其自身方式来描述E-R图.它不考虑物理实现的细节,只表示数据库的整体逻辑结构,独立于任何软件和数据存储结构. PDM:物理数据模型.考虑了数据库的物理实现,包括软件和数据存储结构,即

  • 详解Spring中接口的bean是如何注入的

    Question: 这个问题困扰了我好久,一直疑问这个接口的bean是怎么注入进去的?因为只看到使用@Service注入了实现类serviceImpl,使用时怎么能获取的接口,而且还能调用到实现类的方法,难道这个接口是在什么时候自动注入了进去,且和实现类关联上了? 接口 public interface TestService { public String test(); } 实现类impl @Service public class TestServiceImpl implements Te

  • SpringBoot详解如果通过@Value注解给静态变量注入值

    SpringBoot详解如果通过@Value注解给静态变量注入值

    目录 前序 方案一 方案二 方案三 使用场景 总结 最近做项目的时候,给static变量赋值, 使用 @value注解 ,结果 获取一直为null , 1.spring不允许/不支持把值注入到静态变量中 2.Spring的@Value依赖注入是依赖set方法 3.set方法是普通的对象方法 4.static变量是类的属性,static没有set方法 前序 SpringBoot中使用@Value()只能给普通变量注入值,不能直接给静态变量赋值 例如,application-dev.properti

  • 详解Java的Spring框架中bean的注入集合

    详解Java的Spring框架中bean的注入集合

    使用value属性和使用<property>标签的ref属性在你的bean配置文件中的对象引用,这两种情况下可以处理单值到一个bean,如果你想通过多元值,如Java Collection类型List, Set, Map 及 Properties.要处理这种情况,Spring提供了四种类型的如下集合的配置元素: 可以使用<list> 或<set> 来连接任何实现java.util.Collection或数组. 会遇到两种情况(a)将收集的直接的值及(b)传递一个bean

  • 详解WordPress中过滤链接与过滤SQL语句的方法

    esc_url()(过滤链接) 很多 URL 会有一些小错误,用 esc_url() 函数可以屏蔽或者修正这些错误,并且可以拒绝不安全的协议. esc_url() 函数的工作内容: 默认拒绝不是下面协议的 URL:defaulting to http.https.ftp.ftps.mailto.news.irc.gopher.nntp.feed 和 telnet 删除无效字符和危险的字符 将字符转换成 HTML 实体字符 使用方法 esc_url( $url, $protocols, $_con

  • 详解WordPress开发中过滤属性以及Sql语句的函数使用

    esc_attr()(过滤属性) 一般在写 Html 代码的标签属性的时候会是下边的格式: <input type="text" name="rep" value="rep_value" /> 那如果 value 属性是动态输出的呢? <input type="text" name="rep" value="<?php echo get_option( 'rep_value

  • 详解Java的MyBatis框架中动态SQL的基本用法

    有些时候,sql语句where条件中,需要一些安全判断,例如按某一条件查询时如果传入的参数是空,此时查询出的结果很可能是空的,也许我们需要参数为空时,是查出全部的信息.使用Oracle的序列.mysql的函数生成Id.这时我们可以使用动态sql.下文均采用mysql语法和函数(例如字符串链接函数CONCAT). selectKey 标签 在insert语句中,在Oracle经常使用序列.在MySQL中使用函数来自动生成插入表的主键,而且需要方法能返回这个生成主键.使用myBatis的select

  • 详解Spring基于xml的两种依赖注入方式

    1)使用构造器注入bean 实体类:用户类 public class User { private String name; private UserMessage userMessage; public User() { } public User(String name, UserMessage userMessage) { this.name = name; this.userMessage = userMessage; } public String getName() { return

随机推荐